Por que Excel no es suficiente para cumplir NIS2
Segun estudios recientes del mercado europeo, aproximadamente el 67% de las PYMEs gestionan su inventario de activos IT mediante hojas de calculo. Excel, Google Sheets, LibreOffice Calc. Da igual la variante. El problema es el mismo: cuando un auditor NIS2 se siente frente a tu pantalla y tu abras esa hoja de calculo, no va a bastar.
No porque Excel sea una mala herramienta. Es extraordinaria para lo que fue disenada. Pero la gestion de activos IT bajo un marco regulatorio como NIS2 exige capacidades que una hoja de calculo, por definicion, no puede ofrecer. Este articulo explica por que, punto por punto, y que riesgos reales asumes al mantener tu inventario en un fichero.
Problema 1: Sin pista de auditoria
Este es el problema mas grave y el que con mayor probabilidad generara una no conformidad en una auditoria NIS2.
El Articulo 21 de NIS2 exige medidas de gestion de riesgos de ciberseguridad que incluyen la capacidad de demostrar el cumplimiento. Demostrar cumplimiento requiere evidencia verificable. Y la evidencia verificable requiere una pista de auditoria: un registro inmutable de quien hizo que, cuando y por que.
En una hoja de calculo, cualquier persona con acceso puede modificar cualquier celda sin dejar rastro. Puedes cambiar la fecha de asignacion de un portatil, eliminar un registro de un dispositivo retirado o alterar el nombre del custodio, y nadie sabra que se hizo el cambio. Excel tiene un historial de versiones limitado, pero no es una pista de auditoria en el sentido regulatorio: no es inmutable, no es granular a nivel de campo y no identifica de forma fiable al usuario que realizo cada cambio.
Un auditor NIS2 preguntara: “Si alguien modifica este registro, como lo detectan?” Con Excel, la respuesta honesta es: “No lo detectamos.” Eso es una no conformidad directa.
Problema 2: Sin control de acceso granular
En una hoja de calculo compartida, todos los que tienen acceso pueden ver y editar todo. No puedes establecer que el responsable de IT pueda modificar campos tecnicos pero no financieros, o que el departamento de compras pueda ver costes pero no datos de custodia de empleados. O tienes acceso completo, o no tienes acceso.
NIS2, en su Articulo 21(2)(i), exige politicas de control de acceso basadas en el principio de necesidad de conocer. Si tu herramienta de gestion de activos no permite definir diferentes niveles de acceso segun el rol, no estas cumpliendo este requisito.
Si, es posible proteger hojas o rangos en Excel. Pero estas protecciones son fragiles, faciles de eludir y no generan registro de los intentos de acceso no autorizado. No son un control de acceso en el sentido que NIS2 exige.
Problema 3: Sin vinculacion con incidentes
Cuando ocurre un incidente de seguridad, necesitas poder vincular ese incidente con los activos afectados de forma inmediata. NIS2 exige notificacion de incidentes significativos en plazos muy ajustados: alerta temprana en 24 horas y un informe inicial en 72 horas. No puedes cumplir estos plazos si primero tienes que buscar en una hoja de calculo que dispositivos podrian estar afectados, luego cruzar manualmente con los tickets de soporte y despues reconstruir la cronologia a mano.
Una hoja de calculo es un contenedor de datos estatico. No tiene relaciones con otros sistemas. No puedes hacer clic en un activo y ver sus incidentes asociados, ni viceversa. Esa vinculacion, que es trivial en un sistema ITAM dedicado, es imposible en Excel sin un proceso manual propenso a errores.
Problema 4: Sin automatizacion de ciclo de vida
El ciclo de vida de un activo IT tiene transiciones criticas: adquisicion, configuracion, asignacion, reasignacion, mantenimiento, retirada, destruccion. En un sistema ITAM, estas transiciones generan eventos automaticos: notificaciones, registros de auditoria, actualizaciones de estado, alertas de vencimiento de garantia.
En Excel, cada transicion depende de que alguien recuerde actualizar la hoja. Y la experiencia demuestra que no siempre se recuerda. El resultado es un inventario que se desactualiza progresivamente: portatiles que figuran asignados a empleados que dejaron la empresa hace meses, equipos en almacen que no aparecen en la hoja, dispositivos retirados que siguen listados como activos.
Un auditor NIS2 comprobara la consistencia de tu inventario con la realidad. Si tu hoja de calculo dice una cosa y la realidad dice otra, tienes un problema de compliance.
Problema 5: Sin control de versiones fiable
En muchas PYMEs, el inventario IT existe en multiples copias: “inventario_v3_final.xlsx”, “inventario_v3_final_DEFINITIVO.xlsx”, “inventario_mayo_actualizado.xlsx”. Cuando hay varias versiones circulando, nadie sabe cual es la fuente de verdad.
Incluso con herramientas de almacenamiento en la nube que ofrecen historial de versiones, el problema persiste: el historial muestra que el fichero cambio, pero no muestra exactamente que campos se modificaron ni por que. Y si alguien descarga el fichero, lo edita localmente y lo vuelve a subir, se pierde la cadena de cambios.
Un sistema ITAM profesional tiene una unica base de datos centralizada. No hay versiones. Hay un estado actual y un historial de cambios. Cada usuario trabaja sobre la misma fuente de verdad.
Problema 6: Escalabilidad y errores humanos
Con 10 dispositivos, una hoja de calculo funciona razonablemente bien. Con 50, empieza a ser incomoda. Con 200, es inmanejable. Las PYMEs crecen, y un sistema que funcionaba cuando la empresa tenia 15 empleados colapsa cuando tiene 80.
Los errores humanos en hojas de calculo son inevitables y acumulativos. Un numero de serie mal copiado, una fila borrada accidentalmente, un filtro aplicado que oculta registros sin que nadie lo note, una formula rota que altera datos en cascada. Estos errores degradan la calidad del inventario silenciosamente, y cuando se detectan (si es que se detectan), la reconstruccion del dato correcto puede ser imposible.
Lo que un auditor NIS2 busca que Excel no puede dar
Para resumir, esto es lo que un auditor NIS2 va a buscar en tu sistema de gestion de activos y que una hoja de calculo no puede proporcionar de forma fiable:
- Inmutabilidad del registro historico: Que los datos pasados no puedan ser alterados sin dejar rastro.
- Trazabilidad usuario-accion-fecha: Quien hizo cada cambio y cuando, de forma automatica y verificable.
- Control de acceso basado en roles: Diferentes permisos para diferentes usuarios segun sus funciones.
- Vinculacion activo-incidente: Relacion directa y navegable entre activos e incidentes de seguridad.
- Fuente unica de verdad: Un solo sistema de referencia, sin copias divergentes.
- Generacion de informes bajo demanda: Capacidad de producir reportes filtrados en minutos durante la auditoria.
- Automatizacion de transiciones: Registro automatico de cambios de estado sin intervencion manual.
Los riesgos reales de mantener Excel
Mas alla de la no conformidad en una auditoria, mantener tu inventario IT en Excel tiene riesgos operativos concretos:
- Sanciones economicas: NIS2 preve multas de hasta 10 millones de euros o el 2% de la facturacion anual global para entidades esenciales. Una no conformidad en gestion de activos puede ser el detonante.
- Responsabilidad personal: NIS2 establece responsabilidad de los organos de direccion. El Articulo 20 exige que la alta direccion apruebe y supervise las medidas de ciberseguridad. Si la direccion sabe que el inventario se gestiona en Excel y no actua, hay responsabilidad personal.
- Perdida de activos: Sin trazabilidad fiable, los dispositivos se pierden. No metaforicamente. Literalmente. Empleados que se van con portatiles no registrados, equipos en almacenes olvidados, dispositivos que nadie sabe donde estan.
- Respuesta lenta a incidentes: Sin vinculacion activo-incidente, la respuesta a un ciberataque se ralentiza. Y cada hora cuenta.
La transicion de Excel a ITAM
Migrar de Excel a un sistema ITAM profesional no tiene por que ser traumatico. La mayoria de herramientas ITAM permiten importar datos desde ficheros CSV o Excel, lo que significa que puedes partir de tu inventario actual como base y enriquecerlo progresivamente.
El proceso recomendado es:
- Limpia tu hoja de calculo actual: elimina duplicados, corrige errores evidentes, completa campos vacios.
- Importa los datos en la nueva plataforma ITAM.
- Realiza un inventario fisico para verificar que los datos importados coinciden con la realidad.
- Establece procesos claros para que, a partir de ese momento, todo movimiento de activos se registre en el nuevo sistema.
- Destruye o archiva las hojas de calculo antiguas para evitar que alguien siga usandolas como referencia.
El coste de una herramienta ITAM para una PYME es una fraccion del coste de una sancion por no conformidad NIS2. Y el ahorro de tiempo operativo compensa la inversion en cuestion de meses. Excel fue una solucion razonable cuando NIS2 no existia. Ya no lo es.
¿Listo para evaluar tu cumplimiento normativo?
Empieza tu evaluación gratuita hoy y descubre en qué punto estás con GDPR, NIS2, DORA, ISO 27001 y más.
Written by
Metrica.uno Team
Content Team
Metrica.uno Team is part of the Metrica.uno team, helping organizations navigate AI compliance with practical insights and guidance.
Artículos relacionados
3 preguntas que tu auditor NIS2 hara sobre tus dispositivos
Preparate para la auditoria NIS2: las 3 preguntas clave y como responderlas.
NIS2 y comunicaciones: gestion de activos para operadores de telecomunicaciones
Antenas, nodos de red, centralitas, equipos de fibra. Los operadores de telecomunicaciones son entidades esenciales bajo NIS2.
NIS2 e infraestructura digital: inventario de activos para proveedores cloud y datacenters
Servidores, switches, firewalls, balanceadores. Si operas infraestructura digital, NIS2 exige documentar cada componente.